¿Tu sitio web utiliza servicios de terceros? Cumple con el RGPD en minutos.
Probar FlowConsentmobileCta.note
XGen AI es una plataforma estadounidense de contenido y automatización con IA que ofrece asistentes conversacionales integrables construidos sobre los modelos fundacionales de OpenAI y Anthropic. Las conversaciones introducidas en los widgets de XGen AI se procesan en Estados Unidos y pueden contener datos personales, en ocasiones categorías especiales del Art. 9 RGPD como salud u opiniones políticas. Cargar el widget en un sitio dirigido a la UE deposita identificadores y activa el Art. 5(3) ePrivacy y el régimen Schrems II para transferencias.
XGen AI es una plataforma estadounidense que permite a equipos de producto, marketing y soporte generar contenido y desplegar asistentes conversacionales integrables construidos sobre los modelos fundacionales de OpenAI y Anthropic. Los clientes diseñan los asistentes en un espacio de trabajo alojado e inyectan un fragmento JavaScript en su web para renderizar un widget de chat. El widget ejecuta scripts de origen, carga recursos remotos y reenvía cada mensaje a los servidores de XGen AI en Estados Unidos, donde un pipeline RAG orquesta llamadas a los proveedores de modelos y devuelve la respuesta al navegador.
Cada conversación captura el prompt completo escrito por el visitante, la respuesta generada, un identificador de sesión, la URL de la página, el referente, el agente de usuario y la dirección IP. La mayoría de despliegues añade un identificador de asistente en local storage y una cookie de sesión. Como los usuarios pueden escribir cualquier cosa, las transcripciones contienen con frecuencia datos personales y a veces categorías especiales del Art. 9 RGPD (salud, opiniones políticas, orientación sexual), sobre todo en sitios de salud, jurídicos o de RRHH. XGen AI también puede conservar registros para filtrado de seguridad y calidad.
El operador del sitio es responsable del tratamiento, XGen AI es encargado y los proveedores de modelos fundacionales son subencargados. Cargar el widget escribe identificadores en el dispositivo y activa el Art. 5(3) ePrivacy. Bajo el EU AI Act (Reglamento 2024/1689), el asistente es como mínimo un sistema de riesgo limitado con obligaciones de transparencia del Art. 50: el visitante debe saber que interactúa con IA. Si el chatbot se usa para contratación, scoring crediticio o inferencia biométrica, se aplica el régimen de alto riesgo con documentación, registros y supervisión humana adicionales.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Integrar un asistente XGen AI en una página dirigida a la UE exige consentimiento Art. 6(1)(a) RGPD, tanto para las cookies y local storage que el widget deposita como para el tratamiento sustantivo de la conversación. Cuando el visitante pueda compartir datos del Art. 9, la base jurídica es el consentimiento explícito del Art. 9(2)(a) RGPD. La barrera de consentimiento debe bloquear el script por completo hasta que el usuario opte por el sí y el aviso de transparencia del AI Act debe aparecer dentro de la propia interfaz del chat.
XGen AI opera en regiones AWS en Estados Unidos y enruta los prompts a OpenAI (EEUU) y Anthropic (EEUU). Las transferencias se apoyan en el EU US Data Privacy Framework para operadores certificados, o en Cláusulas Contractuales Tipo con medidas suplementarias. Un Análisis de Impacto de la Transferencia conforme a Schrems II es obligatorio y debe evaluar específicamente el riesgo FISA 702 para contenido textual. Los operadores deben desactivar el entrenamiento sobre datos del cliente en cada proveedor y fijar la región de inferencia siempre que sea posible.
Coloca el cargador de XGen AI tras una CMP e inyecta el script solo después del consentimiento explícito. Desactiva el entrenamiento con datos del cliente, fija una retención corta de transcripciones (30 a 90 días) y configura la redacción de prompts para enmascarar correos, teléfonos e identificadores antes de la inferencia. Publica un aviso de privacidad de IA que liste a XGen AI, OpenAI y Anthropic como subencargados. Realiza pruebas de inyección de prompts, documenta la clasificación del AI Act y ofrece al usuario un mecanismo de un clic para eliminar y exportar sus transcripciones.
Websites using XGen AI must obtain user consent under GDPR regulations.
DPIA considerations
Se requiere una EIPD para XGen AI con tráfico de la UE porque el servicio trata prompts de texto libre que pueden contener datos personales y, frecuentemente, categorías especiales del Art. 9 RGPD (salud, religión, opinión política, orientación sexual). La evaluación debe cubrir los proveedores de modelos en EEUU (OpenAI, Anthropic), la retención de registros de conversación, el aislamiento de datos de entrenamiento, el riesgo de inyección de prompts y exfiltración, la clasificación bajo el EU AI Act (deberes mínimos de transparencia, alto riesgo en RRHH, scoring crediticio o biometría) y el Análisis de Impacto de Transferencia conforme a Schrems II para los flujos hacia EEUU.
Sample consent text
Esta página ofrece un asistente de IA proporcionado por XGen AI. Con tu consentimiento, tus mensajes se enviarán a XGen AI en Estados Unidos y a los proveedores de modelos en cascada (OpenAI, Anthropic) para generar respuestas. Evita compartir datos de salud, identificativos o sensibles. Puedes aceptar, rechazar o cerrar el asistente en cualquier momento. Las transcripciones se conservan para el funcionamiento del servicio y pueden eliminarse a petición.
Third-party domains contacted
xgen.aiapp.xgen.aicdn.xgen.aiapi.openai.comapi.anthropic.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| xgen_session | Session | Session | Maintains the visitor conversation session with the embedded XGen AI assistant so that turns are linked and the model has short term context. Requires consent before the widget loads. |
| xgen_cid | Persistent | 12 months | Persistent identifier that lets XGen AI recognise the same visitor across visits for memory and usage analytics. Requires explicit opt in consent. |
| xgen_assistant_id | Local Storage | 12 months | Stores the active assistant configuration ID in browser local storage so the widget can resume conversations. Triggers Art. 5(3) ePrivacy. |
| xgen_csrf | Session | Session | CSRF protection token for API calls made by the chat widget. Strictly necessary once the visitor has consented to use the assistant. |
XGen AI utiliza cookies para las preferencias de los usuarios — informa a tus visitantes con un banner de consentimiento.
El widget captura cada mensaje que escribe el visitante, la respuesta del asistente, un identificador de conversación, la URL de la página, el referente, la dirección IP y el agente de usuario. Suele escribir una cookie de sesión y un identificador de asistente en local storage. Como los prompts son texto libre, las transcripciones pueden contener datos personales, datos de contacto, números de cuenta y a menudo categorías especiales del Art. 9 RGPD como salud, religión u opinión política. XGen AI puede conservar transcripciones para filtrado de seguridad, depuración y control de calidad y reenviarlas a OpenAI o Anthropic para la inferencia.
Sí. El cargador de XGen AI escribe identificadores en el dispositivo, lo que activa el Art. 5(3) ePrivacy, y envía el contenido de la conversación a encargados en Estados Unidos, lo que exige consentimiento Art. 6(1)(a) RGPD. Si los usuarios pueden compartir datos del Art. 9, la base jurídica debe ser el consentimiento explícito del Art. 9(2)(a). El widget debe permanecer bloqueado tras una CMP hasta que el visitante opte por el sí, y el aviso de transparencia del Art. 50 EU AI Act debe ser visible en la propia interfaz de chat.
Para la mayoría de casos la base jurídica es el consentimiento Art. 6(1)(a) RGPD más el Art. 5(3) ePrivacy para el almacenamiento en el dispositivo. El espacio de trabajo XGen AI del operador trata datos del empleador por contrato (Art. 6(1)(b) RGPD) y puede apoyarse en el interés legítimo (Art. 6(1)(f)) para seguridad y detección de abuso. Si el chatbot trata datos del Art. 9, el operador debe basarse en el consentimiento explícito (Art. 9(2)(a)) o en otra excepción del Art. 9. El AI Act añade obligaciones de transparencia independientes.
Sí. Los servidores de XGen AI están en Estados Unidos y los prompts se reenvían a OpenAI y Anthropic, también estadounidenses. Las transferencias se apoyan en el EU US Data Privacy Framework cuando el proveedor está certificado o en Cláusulas Contractuales Tipo con medidas suplementarias. Un Análisis de Impacto de Transferencia conforme a Schrems II es obligatorio y debe abordar específicamente el riesgo FISA 702 para contenido textual. Los operadores deben fijar la región de inferencia, desactivar el entrenamiento con datos del cliente y documentar el cifrado y los controles de acceso entre la UE y el endpoint estadounidense.
Casi siempre sí. Combinar generación automatizada de contenido con IA, prompts en texto libre que pueden incluir datos del Art. 9, transferencias a un tercer país no adecuado y despliegue a gran escala en un sitio web satisface varios criterios del CEPD. La EIPD debe describir el caso de uso del asistente, los flujos de datos, la retención, los subencargados (OpenAI, Anthropic), el riesgo de alucinación y re identificación, la clasificación bajo el AI Act (riesgo limitado o alto) y las medidas de mitigación (redacción de prompt, opt out de entrenamiento, retención corta, revisión humana).
Bloquea el cargador de XGen AI tras la CMP e inyéctalo solo tras el consentimiento. Desactiva el entrenamiento sobre datos del cliente en OpenAI y Anthropic, aplica redacción de prompts o detección de PII antes de la inferencia, fija una retención corta de transcripciones y restringe el acceso al estricto necesario. Publica un aviso de privacidad de IA que nombre a XGen AI y a los proveedores en cascada como subencargados, coloca el descargo de transparencia del AI Act en la interfaz de chat y ofrece al usuario una forma clara de descargar o borrar su historial.
Para despliegues exclusivamente en la UE considera asistentes open source autohospedados (Mistral, Llama, Falcon) sobre infraestructura europea (OVH, Scaleway, Hetzner, IONOS). Alternativas gestionadas con residencia UE son Mistral La Plateforme (París), Aleph Alpha (Heidelberg) y Azure OpenAI Europa Oeste con contratos de residencia. Estas opciones mantienen orquestación e inferencia dentro del EEE, simplifican la postura Schrems II y eliminan la exposición FISA 702, a cambio de cierta menor paridad funcional respecto a XGen AI.
Revisa el aviso de privacidad de IA y la documentación técnica del AI Act al menos cada seis meses y cada vez que cambies la plantilla del prompt, sustituyas el modelo subyacente, añadas una nueva fuente de datos, cambies de subencargado o abras el chatbot a una nueva categoría de usuarios. Repite los tests de inyección de prompts y sesgos, actualiza el inventario de cookies si cambia la configuración del widget y vuelve a solicitar consentimiento cuando evolucionen finalidades sustantivas, por ejemplo al activar memoria entre sesiones o analítica sobre transcripciones.